「Node.js」の2020年2月セキュリティ更新が公開 ～“Critical”1件を含む3件の脆弱性に対処

公式サイトのリリース

　「Node.js」の開発チームは2月6日、2020年2月のセキュリティリリースが利用可能になったと発表した。v10.19.0（LTS）、v12.15.0（LTS）、v13.8.0（LTS）の各バージョンが公開されている。

　今回のリリースで修正された脆弱性は、以下の3件。

• CVE-2019-15605：HTTP request smuggling using malformed Transfer-Encoding header（深刻度“Critical”）
• CVE-2019-15606：HTTP header values do not have trailing OWS trimmed（深刻度“High”）
• CVE-2019-15604：Remotely trigger an assertion on a TLS server with a malformed certificate string（深刻度“High”）

　加えて、HTTPヘッダーのパース処理がより厳密になった。従来の解釈の緩やかなパース処理に既知の脆弱性は含まれていないが、歴史的にはさまざまな問題の火種となっており、解釈を厳密にすることでセキュリティの向上が期待できる。不正なHTTPヘッダーを生成するWebサイトとの互換性問題を回避するために、コマンドラインオプション“--insecure-http-parser”や“insecureHTTPParser”HTTPオプションが用意されている（v13.4.0で追加）が、利用は推奨されていない。